Berichten over schending van auteursrecht leiden tot omzeiling van Facebook 2FA

Geschreven door op in Articles

Scammers hebben een nieuwe manier bedacht om te proberen de 2FA-beveiliging op Facebook te omzeilen.

Cybercriminelen sturen nepberichten over schending van het auteursrecht met de dreiging dat pagina’s worden verwijderd tenzij de gebruiker in beroep gaat. De eerste stap in het “beroep?” Het slachtoffer wordt gevraagd om een gebruikersnaam, wachtwoord en 2FA-code in te dienen vanaf hun mobiele apparaat, volgens Sophos-onderzoeker Paul Ducklin, waardoor fraudeurs 2FA kunnen omzeilen.

2FA is een extra beschermingslaag bovenop een gebruikersnaam en wachtwoord die meestal inhoudt dat een unieke code naar een mobiel apparaat wordt verzonden, die moet worden ingevoerd om toegang te krijgen tot een platform. Maar oplichters vinden steeds meer manieren om het te omzeilen.

Ducklin legde in een recente post over zijn bevindingen uit dat Sophos regelmatig scam-e-mails over schending van het auteursrecht op sociale media ontvangt, maar deze onderscheidde zich door een plausibele aanval te lanceren met behulp van frauduleuze pagina’s gegenereerd op Facebook, waardoor hun phishing-e-mails een extra air van legitimiteit kregen.

“Geen van deze tactieken zijn nieuw – deze scam was gewoon een interessante en informatieve combinatie,” schreef Ducklin aan Threatpost in een e-mail over zijn bevindingen. “Ten eerste is de e-mail kort en eenvoudig; ten tweede gaat de link in de e-mail naar een legitieme site, namelijk Facebook; ten derde is de workflow op de scam-site verrassend geloofwaardig.”

De nep-Facebook-e-mails bieden aanwijzingen dat ze niet legitiem zijn, maar Ducklin wijst erop dat het overtuigend genoeg is om beheerders van sociale media ertoe te verleiden meer informatie te willen verzamelen over de vermeende klachten over schending van het auteursrecht, wat betekent dat ze op de phishing-link in de e-mail moeten klikken.

De boodschap van de e-mail dreigt de pagina van het slachtoffer te verwijderen, tenzij er binnen 24 uur beroep wordt aangetekend.

“Je zult zien dat wanneer je met de muis over de ‘doorgaan’ gaat, je inderdaad naar facebook.com gaat,” zei hij. “Het addertje onder het gras is dat het Facebook-adres de frauduleuze pagina is die is opgezet om eruit te zien als een officiële Facebook-pagina die is gewijd aan het afhandelen van schendingen van het auteursrecht.”

Van daaruit, ook al ziet de gelinkte tekst eruit alsof klikken naar een andere Facebook-pagina worden gestuurd – zogenaamd zodat slachtoffers een “beroep” kunnen indienen – keek Ducklin en ontdekte dat de doel-URL anders is dan de gelinkte tekst. Het stuurt het slachtoffer in plaats daarvan naar een .CF-domein dat is gevestigd in de Centraal-Afrikaanse Republiek.

“Dat is een oude truc die wordt gebruikt door oplichters – en zelfs door sommige legitieme sites,” voegde Ducklin eraan toe.

De site was tijdelijk opgezet op een cloud web hosting service, die een HTTPS-certificaat genereert zodra de site online is, waardoor detectie een beetje lastiger wordt, voegde hij eraan toe.

“De geldigheid van het certificaat begon vandaag om middernacht, en de oplichtingsmail die we ontvingen kwam om 01:53 UTC binnen, wat vroeg in de avond is aan de westkust van Amerika, en laat in de avond aan de oostkust,” schreef Ducklin. “Zoals je kunt zien, gaan cybercrooks snel!”

Eenmaal op de site werden gebruikers gevraagd om hun wachtwoord in te voeren, twee keer, de Facebook-app op hun mobiele apparaat te openen en de 2FA-code in te voeren, die te vinden is in het gedeelte “Instellingen & Privacy > Code Generator” van de app. Ducklin schreef dat dit zou kunnen resulteren in “potentieel hen een eenmalige kans geven om in te loggen als jij, rechtstreeks vanaf hun server, zelfs als je 2FA hebt ingeschakeld.”

Zodra ze toegang hebben tot de Facebook-gegevens van een slachtoffer, kunnen de aanvallers de info verkopen op het dark web, gebruiken om pagina’s te kapen of neer te halen, gebruikersgegevens losgeld te laten betalen of zelfs frauduleuze in-app-aankopen te doen.

Facebook reageerde op het verzoek van Threatpost om commentaar en zei dat het bedrijf aanbeveelt om voorzichtig te zijn en niet op verdachte links te klikken. Als een gebruiker toch wordt gehackt, kan hij hulp krijgen bij het beveiligen van zijn account op facebook.com/hacked. Het bedrijf voegde eraan toe dat het aanbeveelt om een authenticatie app van een derde partij te gebruiken als een primaire beveiligingsmethode. Facebook heeft ook een lijst met tips om phishing-pogingen op zijn platform te voorkomen.

Is 2FA Broken?

Het omzeilen van 2FA is naar voren gekomen als een verontrustende trend.

Cybercriminele groep Rampant Kitten werd vorige maand ontdekt, na jaren onopgemerkt te hebben geopereerd, om Android-malware te hebben ontwikkeld die 2FA-beveiligingscodes verzamelt die naar apparaten worden verzonden in aanvulling op Telegram-inloggegevens, terwijl Google phishing-aanvallen lanceert.

Op ongeveer hetzelfde moment richtte een trojan met de naam “Alien” zich op banken met een nieuwe notificatie sniffer die oplichters de mogelijkheid gaf om toegang te krijgen tot nieuwe apparaatupdates, waaronder 2FA-codes, om de bescherming te omzeilen.

In mei probeerde een andere aanval op Office 365 gebruikers te verleiden om machtigingen te verlenen aan een malafide toepassing, die vervolgens 2FA-beveiligingen zou omzeilen.

De lijst met inbreuken op 2FA gaat maar door. Het blijft aan de gebruiker om ervoor te zorgen dat hij niet in dit soort phishing-zwendel trapt. Ducklin voegde eraan toe dat het gebruik van een webfilter en het vermijden van e-mailverzoeken om inloggegevens ook goed beleid zijn om te volgen.

“2FA is nooit een zilveren kogel geweest die phishing en fraude zal elimineren – maar het maakt het wel moeilijker voor de oplichters, en het geeft je nog een kans om te stoppen en na te denken wanneer je inlogt: ‘Wil ik echt mijn wachtwoord en mijn inlogcode invoeren *op deze site*?” aldus Ducklin. Controleer altijd waar e-mails vandaan komen en waar weblinks je naartoe hebben geleid – want het enige wat erger is dan opgelicht worden, is opgelicht worden en dan beseffen dat de voortekenen er al die tijd al waren.”

Hij voegde eraan toe: “Zoals elke timmerman je zal vertellen: meet twee keer; zaag een keer.”

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.